8月29日，据国家卫健委官网消息，国家卫健委、国家中医药局、国家疾控局制定了《医疗卫生机构网络安全管理办法》（以下简称《办法》），明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求。

《办法》规定，各医疗卫生机构应加强数据全生命周期安全管理工作，并强调数据销毁时应采用确保数据无法还原的销毁方式。《办法》还要求，各医疗卫生机构新建信息化项目的网络安全预算应不低于项目总预算的5%。

有专家对南都记者表示，《办法》明确了医疗卫生机构的数据安全保护主体责任，对于保护患者的敏感数据有非常积极的意义，但像是涉疫个人信息泄露问题有多方面的原因，还需要各方共同努力。

《办法》分为五章二十七条，分别对网络安全管理、数据安全管理、监督管理、管理保障方面做出了规定。

在数据安全管理一章，《办法》提出，各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作。同时强调，数据销毁时应采用确保数据无法还原的销毁方式，重点关注数据残留风险及数据备份风险。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等，而这也是数据全生命周期包括的范围或过程。“全生命周期是一种将数据拟人化的说法，可以理解为数据收集是数据的“生”，数据的销毁是数据的“死”。从‘生’到‘死’的过程为全生命周期。”北京京师律师事务所律师、北京网络行业协会法律委员会副主任王琮玮说道。

她解释，数据销毁（删除）阶段有两种状态，一种是可逆的，一种是不可逆的。可逆的状态意味着只是形式上删除数据，虽然患者或者用户看不到了，但是通过相应技术手段是可以恢复到原来的状态。但是，不可逆的状态意味着删除数据之后，无法再通过技术手段复原，如个人信息的匿名化，就属于不可逆的。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋认为，“销毁”是数据生命周期的一个阶段，是数据保护的重要环节，但却往往最容易被忽视，所以尤其需要强调。

他指出，在技术上，“销毁”有不同的实现方式。例如，删除后用户查不到了，但数据处理者在后台可以查到；系统中查不到了，但备份系统里面还有。这导致法律法规中这个词的表述在实践中面临不同理解，且由于其过于原则，有时候会被曲解、绕过。

“《办法》的此规定相当于把法律的要求具体化了，是一种很严格的数据销毁方式，即确保数据无法还原，最大程度地保护了用户的权益、消除了理解上的模糊地带。”左晓栋说。

此外，《办法》提出有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门，明确承担安全主管、安全管理员等职责的岗位；还要建立数据安全工作责任制，落实追责追究制度。在管理保障方面，各医疗卫生机构新建信息化项目的网络安全预算不得低于项目总预算的5%。

疫情以后，新冠患者信息泄露遭到网络暴力的事件屡次发生，《办法》的出台是否会减少类似事件重演？左晓栋认为，《办法》专门列了“数据安全管理”一章，凸显了当前数据安全的重要性。这些规定明确了医疗卫生机构的数据安全保护主体责任，对于保护患者的敏感数据，例如新冠患者数据、流调报告等，是有非常积极的意义的。

“当然也要看到，现在大家反映强烈的涉疫个人信息泄露问题有多方面的原因，有些并不在医疗卫生机构，而且有的超范围采集个人信息的指令是地方某些主管机构下达的，医疗卫生机构只是被动接受。所以疫情期间个人信息保护还需要各方面共同努力。”他说道。

另外，《办法》强调，各医疗卫生机构开展人脸识别或人脸辨识时，应同时提供非人脸识别的身份识别方式，不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能。

王琮玮分析，当前远程医疗、网络挂号等服务逐渐增多，这种情形下很有可能涉及收集人脸信息，人脸信息作为一种生物识别方法目前已广泛应用于各种应用中，而生物识别信息属于《个人信息保护法》中规定的敏感信息，在处理时“应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

她表示，在安全管理方面应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取加密、去标识化等措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

《办法》还规定，各医疗卫生机构对已定级备案网络的安全性进行检测评估，第二级的网络应委托等级保护测评机构定期开展网络安全等级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评。

以10万为界是出于何种考虑？左晓栋表示，“10万人”的表述在我国数据安全政策法规中经常出现，是综合考虑了可能发生的个人信息泄露事件的影响、我国的人口、行业惯例等因素而设定的。

他提到，一般认为，处理10万人个人信息的系统如果受到攻击、破坏，对公民个人信息权益的影响就达到了“严重损害”或者“特别严重损害”的程度。因此，即使信息系统本身的定级级别不是很高，如果系统中存在这样量级的个人信息，那么系统的安全措施也应当适当“加码”。

采写：南都记者 孙朝 蒋琳

编辑：蒋琳